Face à un cyber ouragan, comment la France peut se préparer

Trains et avions bloqués, médias incapables d'émettre, des milliers d'entreprises touchées, des millions d'ordinateurs infectés, les services de l'Etat paralysés en partie... Et si un cyber ouragan s'abattait sur la France, une cyberattaque massive et destructrice capable de mettre à mal les infrastructures critiques et le tissu économique du pays? L'Institut Montaigne a imaginé un tel scénario catastrophe dans son rapport "Cybermenace: avis de tempête"* publié mercredi 21 novembre. L'exercice n'est pas si théorique que cela.

"Les attaques de l’été 2017 (WannaCry et Notpetya) ont eu des conséquences graves pour les acteurs touchés. (….) Elles sont

notamment la preuve que le risque d’une attaque large touchant l’ensemble du tissu économique est réel", souligne l'étude. Les facteurs aggravants sont connus : interconnexion à outrance des systèmes d'information, recours massif aux technologies de stockage dans le Cloud, développement exponentiel des objets connectés, uniformisation des technologies informatiques...

Développer la cyber-résilience

Pour éviter une telle catastrophe, les auteurs du rapport appellent à développer une cyber résilience, soit la capacité à rapidement endiguer une attaque, en limiter les effets et reprendre l'activité au plus vite. Ils avancent une dizaine de mesures concrètes à prendre pour anticiper un tel cyber ouragan et s'y préparer à la fois au niveau de l'Etat et des entreprises.

Certaines de ces mesures sont réalisables aisément. Pour mieux connaître leur vulnérabilité, les auteurs incitent les entreprises à réaliser un diagnostic de cybersécurité annuel incluant les recommandations de base pour couvrir les risques révélés. Selon eux, il faut avant tout mieux protéger les PME, considérées comme "des points d'entrée privilégiés pour les attaquants dans la chaîne d'approvisionnements des grands groupes". Cela passe par le développement d'une offre de cybersécurité prête à l'emploi et d'un coût abordable. Le rapport préconise de faire appel à la communauté des experts comptables, les interlocuteurs naturels des chefs d'entreprise en matière de risque pour leur société.

Le rapport propose de renforcer l'arsenal législatif lié à la sécurité informatique. Les auteurs sont favorables à un renforcement de la loi de programmation militaire (LPM) qui impose notamment aux OIV (opérateurs d'importance vitale, ndlr) de relever leur niveau de cybersécurité. Ils voudraient inclure de nouvelles exigences comme la réalisation d'un exercice annuel de crise et la mise en place d’un système d’information de secours indépendant du système d’information nominal qui pourrait être paralysé.

Des recommandations sont également formulées en matière de recherche. Des priorités sont ciblées. "Il faut accélérer les investissements dans les technologies d’apprentissage automatique associées à la cyber pour être en mesure de répondre à des attaques larges et rapides".

Une plateforme d'information sur les cyberattaques

Les rapporteurs conseillent la mise en place de nouveaux outils collectifs pour éviter la propagation d'une cyberattaque. Comme une plateforme de diffusion des signatures d'attaque caractérisant le mode opératoire des attaquants. Cette plateforme d'échanges serait opérée soit par l'Etat soit par un ou des acteurs majeurs français de la cybersécurité. "Cette structure pour échanger de l'information constitue un manque flagrant aujourd'hui", déplore l'étude.

Enfin pas de cybersécurité sans experts! Or la France souffre d'une pénurie de techniciens et d'ingénieurs en sécurité informatique. L'étude préconise de mettre les bouchées doubles dans le domaine de la formation et souligne la responsabilité de la puissance publique. A l'Etat de créer un parcours de formation incitatif sachant que le coût des études longues ou de formation de reconversion constituent une barrière financière. Selon les auteurs du rapport, l'ensemble de leurs propositions ne seront réellement efficaces que dans un contexte où les dirigeants politiques et économiques sont hautement sensibilisés aux enjeux de la cybersécurité.

Sélectionné pour vous

Comment Airbus compte muscler sa cybersécurité avec les compagnies aériennes

[Le plein de cyber] ChatGPT, nouvel outil au service des cybercriminels

L’assurance cyber gagne du terrain dans les PME